grzymek77 Opublikowano 19 Lipca 2012 Zgłoś Udostępnij Opublikowano 19 Lipca 2012 Witajcie. W moim laptopie od jakichś 3 dni znalazłem przykrą niespodziankę w postaci komunikatu który przedstawia się następująco: "Nie można uruchomić usługi centrum zabezpieczeń systemu Windows". Eset wykrył w dzienniku zdarzeń taki oto komunikat: "Pamięć operacyjna » rundll32.exe(1792) prawdopodobnie odmiana zagrożenia Win32/Ponmocup.AA koń trojański nie można wyleczyć" Proszę o pomoce lub wskazówki jak się tego pozbyć ??? OTL.Txt Odnośnik do komentarza
picasso Opublikowano 19 Lipca 2012 Zgłoś Udostępnij Opublikowano 19 Lipca 2012 grzymek77, co to za durny post "czy ktoś pomoże"? Kosz. Zasady działu: KLIK. Temat napisany prawie o 11, jest po 13. Wielu użytkowników założyło temat przed Tobą i ma pierwszeństwo. Jest wyraźnie napisane, by czekać cierpliwie. Nic nie osiągniesz podbiciem, co więcej możesz sprowokować złośliwość. Ty nie czytasz = my nie czytamy. Zastrzeżenia: Log z OTL jest niepełny, brakuje pliku Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). Był używany ComboFix, a nie ma o tym ani słowa + brak prezentacji raportu z jego pracy. Był także uruchamiany skrypt do OTL = branie z cudzych tematów to bezsens, to nie będzie działać, skrypty pasują tylko i wyłącznie do systemu dla którego zostały zrobione. Infekcja dobrze widoczna w raporcie i przechodzimy do usuwania: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\SysWow64\icsigdk.dll C:\Windows\tasks\Kdvbkvzi.job C:\Users\win7\AppData\Roaming\Mozilla\Firefox\Profiles\zb22n49d.default\searchplugins\askcom.xml :OTL O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. IE - HKCU\..\SearchScopes\{8CD69346-BB37-4E10-9CB2-657839B544A9}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=AVR-3&o=APN10401&src=kw&q={searchTerms}&locale=&apn_ptnrs=^ABZ&apn_dtid=^YYYYYY^YY^PL&apn_uid=0bf62607-8da2-4bcd-9caa-5f1dbbce589e&apn_sauid=42776543-ADE0-4E72-A4B2-5E1C26A04C6B" FF - prefs.js..browser.search.order.1: "Ask.com" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania. 2. Włącz funkcje zdeaktywowane przez malware: Centrum zabezpieczeń: Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem. Ochrona systemu: Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików" 3. Zrób nowy log OTL z opcji Skanuj (przypominam o Extras). Dołącz log z usuwania OTL z punktu 1. . Odnośnik do komentarza
grzymek77 Opublikowano 19 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 19 Lipca 2012 (edytowane) wykonałem krok po kroku to co napisałeś "picasso", załączam log z usuwania OTL z punktu 1, niestety nie wiem co to extras i jak to zrobić? Niestety nie mogę załączać plików ??? wyświetl na czerwono komunikat że nie mam uprawnień ... Edytowane 19 Lipca 2012 przez picasso Posty połączone. //picasso Odnośnik do komentarza
picasso Opublikowano 19 Lipca 2012 Zgłoś Udostępnij Opublikowano 19 Lipca 2012 Po pierwsze: napisałam = jestem kobietą. Po drugie: nie czytasz uważnie, to i są skutki. - Kierowałam do zasad działu, w których jest napisane, by nie tworzyć postów pod postem, jeśli nikt nie odpisał (posty sklejam), tylko używać Edytuj. - Tam także wyjaśnione, że załączniki akceptują tylko format *.TXT. Log z usuwania to format *.LOG, wystarczy zmiana nazwy pliku. Albo wklej zawartość wprost do posta, bo krótki log. - W zasadach jest i odnośnik do konfiguracji OTL (KLIK), który to opis wyjaśnia dlaczego nie powstaje Extras. Ponadto, czyż nie mówiłam o tym w swoim pierwszym poście? Log z OTL jest niepełny, brakuje pliku Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania") . Odnośnik do komentarza
grzymek77 Opublikowano 20 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 20 Lipca 2012 OK, wklejam Log. All processes killed ========== FILES ========== C:\Windows\SysWow64\icsigdk.dll moved successfully. C:\Windows\tasks\Kdvbkvzi.job moved successfully. C:\Users\win7\AppData\Roaming\Mozilla\Firefox\Profiles\zb22n49d.default\searchplugins\askcom.xml moved successfully. ========== OTL ========== Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{8CD69346-BB37-4E10-9CB2-657839B544A9}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8CD69346-BB37-4E10-9CB2-657839B544A9}\ not found. Prefs.js: "Ask.com" removed from browser.search.order.1 ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Public ->Temp folder emptied: 0 bytes User: UpdatusUser ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: win7 ->Temp folder emptied: 34435756 bytes ->Temporary Internet Files folder emptied: 8069320 bytes ->FireFox cache emptied: 74776194 bytes ->Flash cache emptied: 605 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32 (64bit) .tmp files removed: 12288 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 1434659 bytes %systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50668 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 113,00 mb OTL by OldTimer - Version 3.2.54.0 log created on 07192012_141532 Files\Folders moved on Reboot... C:\Users\win7\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully. PendingFileRenameOperations files... File C:\Users\win7\AppData\Local\Temp\FXSAPIDebugLogFile.txt not found! Registry entries deleted on Reboot... Odnośnik do komentarza
picasso Opublikowano 20 Lipca 2012 Zgłoś Udostępnij Opublikowano 20 Lipca 2012 Brakuje jeszcze głównego raportu: 3. Zrób nowy log OTL z opcji Skanuj (przypominam o Extras). Ten już do załącznika. . Odnośnik do komentarza
grzymek77 Opublikowano 20 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 20 Lipca 2012 załączam raport OTL.Txt Odnośnik do komentarza
picasso Opublikowano 20 Lipca 2012 Zgłoś Udostępnij Opublikowano 20 Lipca 2012 Coś nie możemy się dogadać, nadal nie ma pliku Extras = mówiłam, że opcja Rejestr - skan dodatkowy nie została ustawiona na Użyj filtrowania. Dobra, zostawmy to już, bo idzie ciężko. Zakładam, że wykonałeś wszystkie akcje jak należy. Jako zakończenie: 1. Przez SHIFT+DEL skasuj z dysku te obiekty, 99% wygląda na odpadki po używanych skanerach: [2012-07-19 15:16:03 | 000,000,660 | ---- | C] () -- C:\Users\win7\$RECYCLE.BIN.ZIP[2012-07-09 16:17:51 | 000,000,000 | ---D | C] -- C:\Windows\erdnt[2012-06-26 18:10:51 | 000,000,000 | ---D | C] -- C:\ProgramData\Kaspersky Lab[2012-06-26 17:37:24 | 000,000,000 | ---D | C] -- C:\ProgramData\Avira[2012-06-21 13:56:32 | 000,258,520 | ---- | C] (AVAST Software) -- C:\Windows\SysNative\aswBoot.exe[2012-06-21 13:56:07 | 000,000,000 | ---D | C] -- C:\ProgramData\AVAST Software[2012-06-21 13:56:07 | 000,000,000 | ---D | C] -- C:\Program Files\AVAST Software[2012-06-20 13:54:41 | 000,000,000 | ---D | M] -- C:\Users\win7\AppData\Roaming\ArcaVirMicroScan Do deinstalacji skanery BitDefender, Sophos, TrojanHunter. 2. Odinstaluj w prawidłowy sposób ComboFix. Nie widzę na dysku pliku ComboFix.exe, pobierz więc ponownie na Pulpit (KLIK). Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\win7\Desktop\ComboFix.exe /uninstall 3. W OTL uruchom Sprzątanie, które skasuje z dysku OTL i jego kwarantannę. Funkcja wymaga restartu. 4. Porównaj z listą co wymaga aktualizacji w programach: KLIK. Na pewno Windows ma SP1 i IE9, Firefox + wtyczka Flash dla Firefox są najnowsze. Resztę samodzielnie zweryfikuj. I to by było na tyle. . Odnośnik do komentarza
grzymek77 Opublikowano 21 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 21 Lipca 2012 Pomogło dzięki serdeczne za pomoc, jestem pod wielkim wrażeniem Twojej wiedzy i w dodatku jeszcze kobieta... wielki szacun za ogromną dawkę wiedzy. Temat uważam za zamknięty, pozdrawiam ;- ) Odnośnik do komentarza
Rekomendowane odpowiedzi